UJP - 技術情報2 : Windows 10でイベントログ Windows10/EventLog/Audit

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

Page Top

はじめに anchor.png Edit

 Windowsはユーザが多いのでセキュリティ的にも狙われがちだけれど,その防衛手段として監査ログが充実している模様.  ログオン・ログオフの成功と失敗の監査はWindows NTの時代からあったと思うけれど,今現在はどのプログラムいつ起動したかまで取れる模様.  ということで,ログを取って見る.  今回は,ドメインに所属していないWindows 10 Professional(Windows 8.1からのアップグレード版)を用いている.

Page Top

ローカルセキュリティポリシーツールの起動 anchor.png Edit

 監査ログを残すには,ポリシーの設定が必要.今回はドメイン運用してないので,ローカルセキュリティポリシーを設定する.

index.php?page=view&file=6487&Windows10Auditsetting2.jpg

 歯車アイコンの[設定]ではなく,[コントーロールパネル]を探して開く.

index.php?page=view&file=6488&Windows10Auditsetting3.jpg

 表示方法を[大きいアイコン]にすると[管理ツール]がでてくる.

index.php?page=view&file=6489&Windows10Auditsetting4.jpg

 [ローカルセキュリティポリシー]があるので起動する.

Page Top

セキュリティの設定 anchor.png Edit

 ローカルセキュリティポリシーので,ローカルポリシーを設定する.

index.php?page=view&file=6490&Windows10Auditsetting5.jpg

 

index.php?page=view&file=6491&Windows10Auditsetting6.jpg

 初期状態では全て[監査しない]となっている.

index.php?page=view&file=6492&Windows10Auditsetting7.jpg

 各監査項目のプロパティを開いて,設定を行う.今回は,成功も失敗も記録する感じで.

index.php?page=view&file=6493&Windows10Auditsetting8.jpg

 今回はドメインに参加してないので,ディレクトリサービスのところ以外は監査ログを残すことにした.

Page Top

イベントビューアを確認 anchor.png Edit

 監査ログを有効にしたら,イベントビューアを使ってログを確認.

index.php?page=view&file=6494&Windows10Auditsetting9.jpg

 この例では,コマンドプロンプトを起動した結果がこれで出ている.

index.php?page=view&file=6495&Windows10Auditsetting10.jpg

 次に,ログオフ/ログオンを行い,ログオンの監査を確認.

index.php?page=view&file=6496&Windows10Auditsetting11.jpg

 イベントID 4624が対象となる模様.


トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom
Counter: 1108, today: 2, yesterday: 2
最終更新: 2019-11-19 (火) 01:21:28 (JST) (1582d) by nobuaki

広告スペース
Google